De faux correctifs CrowdStrike propagent des logiciels malveillants et des effaceurs de données

Une mise à jour logicielle défectueuse du fournisseur de cybersécurité basé aux États-Unis, CrowdStrike, a causé une panne massive pour les appareils Windows de Microsoft dans le monde entier vendredi.

Il a été observé que des acteurs malveillants exploitent cette mise à jour défectueuse pour cibler des entreprises avec des effaceurs de données et des outils d’accès à distance.

Pour ceux qui ne le savent pas, 8,5 millions d’appareils Windows ont été impactés en raison d’un dysfonctionnement du capteur CrowdStrike Falcon, une solution de sécurité installée sur les appareils Windows, provoquant leur plantage et affichant le message d’erreur Blue Screen of Death (BSOD) sur les appareils affectés.

Suite à la panne, CrowdStrike a reconnu le problème, a annulé la mise à jour problématique et a déployé un correctif. Il a également publié des conseils pertinents aux fournisseurs afin que les entreprises et organisations concernées puissent prendre les mesures nécessaires.

Même Microsoft a publié un outil de récupération pour traiter le problème de CrowdStrike.

Malgré ces mesures préventives, les chercheurs et les agences gouvernementales ont remarqué une augmentation des e-mails de phishing incitant les entreprises et les particuliers à télécharger et installer un correctif d’apparence légitime pour le problème.

Cet incident a été signalé pour la première fois par le chercheur en cybersécurité g0njxa samedi. Il concerne une campagne de logiciels malveillants qui installe le Remcos RAT et est livrée sous la forme d’une mise à jour de faux correctif CrowdStrike ciblant les clients de la banque BBVA.

Le fichier malveillant installe HijackLoader, qui livre ensuite le Remcos RAT (outil d’accès à distance) au système infecté.

Le nom du fichier d’archive ZIP qui transportait le logiciel malveillant est « crowdstrike-hotfix », et a été distribué via un site de phishing, hxxps://portalintranetgrupobbva[.]com, qui prétendait être un portail intranet de BBVA.

De plus, des attaquants ont été repérés distribuant un effaceur de données via de faux correctifs CrowdStrike.

La plateforme d’analyse de logiciels malveillants AnyRun a rapporté des indications selon lesquelles des acteurs malveillants tentent d’usurper l’identité de CrowdStrike à travers des escroqueries de phishing.

« Cela décime le système en écrasant des fichiers avec des octets nuls et ensuite le rapporte sur #Telegram », déclare AnyRun.

En lien avec cet effaceur de données, le groupe hacktiviste pro-iranien Handala a revendiqué la responsabilité de l’attaque.

Il a déclaré sur Twitter qu’il avait envoyé des e-mails à des entreprises israéliennes déguisés en CrowdStrike livrant l’effaceur de données.

Les acteurs malveillants ont envoyé des e-mails depuis le domaine « crowdstrike.com.vc » convainquant les clients de télécharger un outil qui résoudrait le problème de CrowdStrike et ramènerait les systèmes Windows à la normale.

De plus, l’e-mail de phishing envoyé par Handala aux entreprises ciblées comprenait un PDF vu par BleepingComputer contenant des instructions détaillées sur comment appliquer la fausse mise à jour et un lien pour télécharger un fichier ZIP, qui comprenait un fichier zip exécutable nommé ‘Crowdstrike.exe.’

Lorsque cette fausse mise à jour CrowdStrike est exécutée, l’effaceur de données est téléchargé et extrait dans un dossier sous %Temp% puis lancé pour écraser des fichiers et des données stockées sur l’appareil.

Dans un article de blog séparé, CrowdStrike a également averti de l’augmentation des e-mails de phishing prétendant provenir du support CrowdStrike, usurpant l’identité du personnel de CrowdStrike lors d’appels téléphoniques, se faisant passer pour des chercheurs indépendants, prétendant avoir des preuves que le problème technique est lié à une cyberattaque et offrant des informations de remédiation, ainsi que la vente de scripts prétendant automatiser la récupération du problème de mise à jour de contenu.

George Kurtz, fondateur et PDG de CrowdStrike, a exhorté les clients à rester vigilants et à s’assurer qu’ils interagissent avec des représentants officiels de CrowdStrike, car ils s’attendent à ce que des adversaires et des acteurs malveillants exploitent cet incident.

« Les clients sont invités à vérifier le portail de support pour des mises à jour. Nous continuerons également à fournir les dernières informations ici et sur notre blog dès qu’elles seront disponibles.

Nous recommandons aux organisations de vérifier qu’elles communiquent avec des représentants de CrowdStrike par le biais de canaux officiels », a écrit l’entreprise dans un article de blog.